Cibercrimen e Ingeniería Social


La ingeniería social es un término que últimamente ha tomado mucha relevancia, pues a raíz de la pandemia COVID-19 se ha posicionado como un aspecto importante en materia de Ciberseguridad y seguridad social debido a que su uso por parte de ciberdelincuentes ha aumentado de manera considerable para dirigirse principalmente a los usuarios que realizan Home Office.


¿Qué es la ingeniería social?

La ingeniería social es una técnica psicológica que se basa en la manipulación, con el objetivo de conseguir que otras personas hagan algo que se les pide.


Por lo tanto, la ingeniería social no es una técnica nada nueva, ha sido usada por miles de años y se puede ver reflejada en las tantas estafas y engaños a lo largo de la historia, así que se fue extendiendo también a la vida digital.

Ingeniería social y el cibercrimen

En el ámbito de la ciberseguridad, la ingeniería social juega un papel importante, pues es empleada en la mayoría de los ciberataques para conseguir el primer punto de entrada a las organizaciones o primer punto de contacto con las víctimas.

Algunos ataques que hacen uso de la ingeniería social son:

En estos y muchos otros tipos de ataque, el objetivo común es obtener un beneficio tras conseguir que un usuario proporcione datos confidenciales, brinde acceso a instalaciones o sistemas corporativos o realice alguna otra acción de alto riesgo.


Formas más comunes de engaño

Si bien, los atacantes se las ingenian de distintas maneras para lograr su objetivo, hay algunas tácticas que emplean con mayor frecuencia:

Extrema urgencia: Aparentan que la solicitud es URGENTE y hacen uso de la debilidad humana de querer ayudar a quien está en problemas. Las personas que son engañadas, normalmente entregan información confidencial, accesos no permitidos, datos de la organización, datos de las personas, etc.

Información que deberían de conocer. Muchas veces, los atacantes suplantan la identidad de alguna entidad financiera o de servicios y por medio de correos, llamadas telefónicas intentan persuadir a las personas para proporcionar información que dichas instituciones nunca pedirán, como contraseñas, NIP, datos personales y bancarios, etc.

Acceso no autorizado. Un atacante intentará, por medio de esta técnica, pedirte acceso a información, lugares o dispositivos a los que no esta autorizado. Argumentando que tendrá problemas si no lo ayudas.

Pedir contraseñas. Pueden intentar persuadirte para que les proporciones tu contraseña por medio de sitios falsos o engaños para que ingreses o les proporciones alguna información.

Omisión de procesos. Intentarán convencerte para que saltes los procesos establecidos por la empresa haciendo uso de la extrema urgencia como. 

  • Ayúdame o me pueden correr...
  • Es para tu jefe y le urge, si no le envío de inmediato lo que me pide se molestará.

Demasiado bueno para ser verdad. Es una técnica muy común en correo, llamadas y mensajes de texto. Te informan que ganaste un sorteo o tienes derecho a un regalo que solo "pueden entregarte" si les confirmas algunos datos.

Correos extraños de compañeros. También pueden hacerse pasar por un compañero, solicitándote información o accesos que no debería tener, o ya debería conocer.


¿Cómo evitar ser víctimas de ingeniería social?

Lo más peligroso de los ataques que emplean ingeniería social es que muchas personas se dan cuenta demasiado tarde de que fueron engañadas.

Por ese motivo, para prevenir ser una víctima más, la clave es mantenerse alertas para detectar cualquier actividad sospechosa que pueda surgir en nuestra vida u organización, como llamadas telefónicas de  "proveedores" de servicios solicitando información confidencial, correos electrónicos con facturas que no estabas esperando recibir, etc.

Las personas necesitan aprender a identificar estos ataques y la forma correcta de actuar ante ellos, por ejemplo, un phishing. Esto solo lo puede proporcionar la concientización o cultura en ciberseguridad.









#ingenieriasocial #ciberataques #infosec #engaño #manipulacion #estafas #robodeinformacion #robodedatos #easysec #ciberseguridad #ciberamenazas #ataquesciberneticos #phishing #vishing #smishing #ataquesbec

Publicar un comentario

0 Comentarios